Vào ngày 24 tháng 5, buổi công bố về SOC thương mại mới (Trung tâm Điều hành An ninh – trung tâm giám sát và ứng phó các sự cố an ninh thông tin), do Gazinformservice khai trương, đã diễn ra tại Luzhniki. Điều gì khiến nó trở nên độc đáo và hấp dẫn đối với khách hàng?
- Giới thiệu
- Lịch sử hình thành SOC
- Nhiệm vụ tạo SOC khó hơn tưởng tượng
- Kiến trúc của SOC “Gazinformservice”
- Khó khăn trong việc xây dựng SOC
- Kế hoạch phát triển SOC
- Giải thưởng – 250.000 rúp
- kết luận
Giới thiệu
Công ty Gazinformservice, từ lâu đã nổi tiếng ở thị trường Nga về phần mềm, cũng như công việc thiết kế để tích hợp các giải pháp của riêng mình và của bên thứ ba vào cơ sở hạ tầng của khách hàng, đã tuyên bố sẵn sàng bắt đầu vận hành thương mại một trung tâm giám sát và giám sát mới. ứng phó với sự cố an ninh mạng (SOC). Thông báo diễn ra tại Moscow trong diễn đàn PHDays 2024. Dịch vụ mới được trình bày bởi phó tổng giám đốc công ty và giám đốc kỹ thuật Nikolai Nashivochnikov.
Lịch sử hình thành SOC
Gazinformservice đã phát triển phần mềm và phần cứng để bảo mật thông tin, thiết kế và triển khai các giải pháp bảo mật thông tin, bao gồm thiết bị kỹ thuật và bảo mật kỹ thuật, trong 20 năm.
Công ty có nhiều kinh nghiệm trong việc điều tra sự cố và hỗ trợ tư vấn xây dựng dịch vụ an toàn thông tin cho khách hàng. Tuy nhiên, cho đến nay, tất cả kiến thức chuyên môn tích lũy được trong công ty đều được sử dụng dưới dạng công việc dự án. Mặc dù có nhiều kinh nghiệm và năng lực sâu rộng, vấn đề tạo ra SOC của riêng chúng tôi vẫn còn nằm ở phía sau. Tại sao?
Hình 1. Bài phát biểu của Nikolai Nashivochnikov tại diễn đàn PHDays 2024
Như Nikolai Nashivochnikov đã nói, công ty trước đây đã liên tục theo dõi các xu hướng trên thị trường bảo mật thông tin Nga và phân tích các xu hướng phát triển của toàn ngành. Tuy nhiên, cho đến gần đây, công ty vẫn nghi ngờ về tính hữu ích của việc tạo ra SOC của riêng mình. Điều này bị cản trở bởi sự miễn cưỡng của khách hàng Nga trong việc chuyển đổi hàng loạt sang mô hình dịch vụ bảo mật thông tin. Theo truyền thống, họ không muốn mở rộng các chức năng này ra ngoài “chu vi tự nhiên”, với lý do những rủi ro mà quyết định như vậy đặt ra.
Đồng thời, thị trường nước ngoài lại thể hiện xu hướng theo chiều hướng ngược lại. Từ lâu đã có xu hướng chuyển sang hỗ trợ dịch vụ bảo mật thông tin. Nguyên nhân chính là do mức độ phức tạp của nhiệm vụ phát hiện các thực thể độc hại và chống lại các cuộc tấn công mạng tăng mạnh.
Bước ngoặt đối với thị trường Nga, theo Nikolai Nashivochnikov, là năm 2022. Khi đó nhu cầu gia công bảo mật thông tin từ khách hàng nảy sinh. Có nhiều yếu tố khác nhau góp phần vào việc này:
- sự rời bỏ của các nhà cung cấp nước ngoài khỏi thị trường Nga;
- thiếu nhân sự;
- hạn chế về ngân sách;
- thực tế của các mối đe dọa trên mạng và kết quả là có những thay đổi nghiêm trọng trong các yêu cầu pháp lý.
Quyết định của công ty Gazinformservice tạo ra SOC của riêng mình bị ảnh hưởng bởi các lý do khác. Rõ ràng là một mô hình dịch vụ có cấu trúc hợp lý để cung cấp dịch vụ bảo mật thông tin sẽ giúp bạn mở rộng quy mô kinh doanh của mình dễ dàng và nhanh chóng hơn, dựa vào kiến thức chuyên môn tích lũy được trong lĩnh vực bảo mật thông tin. Mô hình dự án chủ yếu hướng đến những khách hàng rất lớn. Rõ ràng, vị trí của cơ quan quản lý, hiện giải thích rõ ràng hơn khả năng lựa chọn nhà cung cấp dịch vụ, cũng có thể đóng một vai trò nào đó.
Nhiệm vụ tạo SOC khó hơn tưởng tượng
Như Nikolay Nashivochnikov đã lưu ý, thời điểm xây dựng mô hình kinh doanh mới, thể hiện ở việc cung cấp dịch vụ SOC, đã bị đánh giá thấp, mặc dù có kinh nghiệm thực tế phong phú và trình độ chuyên môn cao trong lĩnh vực bảo mật thông tin. Thay vì sáu tháng như dự kiến, thời gian ra mắt thực tế cho giai đoạn đầu tiên của SOC là hơn một năm. Bây giờ chúng ta chỉ nói về sự sẵn sàng của năm dịch vụ cơ bản cho khách hàng. Quá trình phát triển SOC và bổ sung thêm các chức năng mới vào “danh mục đầu tư” của nó vẫn tiếp tục.
Điều này khẳng định rằng ngay cả khi hiểu đầy đủ về toàn bộ phạm vi công việc cần thực hiện và cách thực hiện các nhiệm vụ, dự án vẫn có thể cần nhiều thời gian hơn dự kiến ban đầu. Sự chậm trễ chủ yếu là do nhu cầu đảm bảo mức độ tích hợp cao giữa các công cụ được sử dụng như một phần của SOC. Điều này không phải lúc nào cũng dễ thực hiện, ngay cả khi chúng đã được sử dụng từ lâu hoặc được phát triển trong chính công ty.
“Khi phát triển, chúng tôi cố gắng không làm phức tạp nhiệm vụ, theo xu hướng hiện có. Chúng tôi đã cố gắng ở trong giới hạn của các quyết định sáng suốt. Chúng tôi không đặt mục tiêu chuyển số lượng chức năng tối đa sang AI. Nếu vấn đề có thể được giải quyết bằng các phương pháp thông thường, chúng tôi đã chọn phương pháp truyền thống, đảm bảo độ tin cậy của giải pháp. Chỉ những chức năng thông thường mới được chuyển sang học máy, cũng như những nhiệm vụ mà việc sử dụng AI mang lại hiệu quả cao hơn trong việc phát hiện các mối đe dọa.”
Kiến trúc của SOC “Gazinformservice”
Khi xây dựng một giải pháp kiến trúc mới, Gazinformservice coi nhiệm vụ tạo SOC là việc triển khai một hệ thống cung cấp khả năng giám sát các đối tượng kỹ thuật phức tạp và kiểm soát rủi ro xâm nhập trái phép vào mạng máy tính, hệ thống điều khiển tự động và cơ sở dữ liệu.
Cơ sở công nghệ cho SOC của Gazinformservice là sản phẩm Ankey SIEM NG của chính họ.
Nikolai Nashivochnikov gọi cách tiếp cận này là tiến hóa và mang tính cách mạng, vì để triển khai các dịch vụ SOC, các chức năng mà công ty đã cung cấp trước đây đã được chọn. Bây giờ họ có một hình thức mới.
Hiện tại, như đã đề cập, năm chức năng cơ bản đã được triển khai (chúng được đánh dấu màu xanh lam trong hình). Tuy nhiên, kế hoạch phát triển SOC theo kế hoạch không kết thúc ở đó. Ở đây, các chức năng bổ sung được đánh dấu màu đỏ, sự phát triển sâu rộng vẫn đang tiếp tục. Hầu hết chúng sẽ xuất hiện trong năm nay.
Hình 2. Các dịch vụ sẵn sàng và theo kế hoạch như một phần của Gazinformservice SOC
Khó khăn trong việc xây dựng SOC
Để chuẩn bị, các nhà phát triển đã phải tạo ra nhiều trình kết nối và quy tắc tương quan mới bên cạnh gói chuyên môn hiện có.
Hình 3. Tập hợp nguồn dữ liệu để giám sát trong SOC “Gazinformservice”
Giá trị đặc biệt đối với Gazinformservice SOC là một bộ công cụ phân tích hành vi (UEBA) dựa trên học máy. Chúng phản ánh kinh nghiệm tích lũy khi làm việc với dữ liệu. Điều này giúp có thể xác định các mẫu và đưa ra dự đoán.
Dịch vụ này hoạt động trên hệ thống SIEM chính, lọc ra một lượng lớn thư rác và nhiều thông tin sai lệch phát sinh với mức độ kiểm soát chi tiết cao.
Hình 4. Rủi ro bảo mật thông tin yêu cầu sử dụng nền tảng phân tích nâng cao và UEBA
Như Nikolai Nashivochnikov đã lưu ý, cơ chế phân tích mới cho thấy hiệu suất cao trong việc xác định hoạt động đáng ngờ đã ở giai đoạn vận hành thử nghiệm của hệ thống. Tốc độ xử lý hóa ra cao hơn SIEM cổ điển.
Các lĩnh vực mà việc sử dụng phân tích nâng cao được coi là cần thiết cũng đã được xác định. Chúng giúp ghi lại các sự cố có thể bị bỏ sót khi sử dụng SIEM cổ điển. Lợi ích to lớn của phân tích cũng được thấy trong các cuộc tấn công mạng sử dụng các công cụ hợp pháp cho mục đích xấu.
Việc sử dụng các công cụ phân tích nâng cao cuối cùng đã giúp tăng hiệu quả của nhóm SOC lên gấp 2–3 lần.
Hình 5. Lợi ích của việc sử dụng phân tích nâng cao trong hoạt động SOC
Kế hoạch phát triển SOC
Theo Nikolai Nashivochnikov, bộ dịch vụ ban đầu phản ánh các yêu cầu cơ bản từ khách hàng. Hiện tại, SOC Gazinformservice mới cung cấp dịch vụ trong năm lĩnh vực sau:
- Kiểm soát tài sản CNTT.
- Quản lý lỗ hổng.
- Giám sát rộng rãi các sự kiện an ninh.
- Phân tích và xử lý sự cố.
- Ứng phó sự cố.
Trong năm 2024, các dịch vụ mới sẽ được bổ sung trong các lĩnh vực sau:
- dịch vụ đánh giá toàn diện về bảo mật cơ sở hạ tầng CNTT (Xác thực bảo mật nền tảng, PSV);
- dịch vụ kiểm tra hiệu quả hệ thống bảo mật thông tin của khách hàng (Red Teaming);
- dịch vụ tình báo mạng (Tình báo mối đe dọa, TI).
Công ty Gazinformservice cũng có kế hoạch tích cực tham gia đào tạo các chuyên gia điều tra sự cố mạng và thiết lập hệ thống bảo mật thông tin. Với mục đích tương tự, chúng tôi có kế hoạch mở cơ sở đào tạo mạng của riêng mình và tham gia các cuộc thi chuyên nghiệp. Có kế hoạch mở rộng đội ngũ nhà phân tích L2 và nhà nghiên cứu mối đe dọa.
Hình 6. Lộ trình phát triển SOC đến năm 2024
Giải thưởng – 250.000 rúp
Tóm lại, Nikolai Nashivochnikov đã công bố một cuộc thi mà bất kỳ ai cũng có thể tham gia. Quỹ giải thưởng là 250.000 rúp.
Điều kiện của cuộc thi rất đơn giản. Chúng tôi cần đề xuất tên cho SOC “Gazinformservice” mới. Theo lộ trình, thủ tục tuyển chọn chính thức sẽ diễn ra vào tháng 7 năm 2024. Các ý kiến góp ý sẽ được tiếp nhận Đây.
kết luận
SOC mới của công ty Gazinformservice không chỉ là sự xuất hiện của một công ty mới trên thị trường Nga về các trung tâm giám sát và ứng phó các sự cố mạng mà còn là một trải nghiệm thú vị cho ngành, khi một công ty tham gia trưởng thành, nổi tiếng trên thị trường với vai trò của mình. công việc thiết kế điều tra các sự cố, bao gồm cả các doanh nghiệp công nghiệp, tạo ra nền tảng riêng để nhân rộng kinh nghiệm và năng lực tích lũy cho nhiều đối tượng khách hàng.